安全扫描漏洞
Spring Boot Actuator未授权访问漏洞
漏洞描述: “smart.swj.******.gov.cn/smdl/*****actuator” 存在Spring Boot Actuator未授权访问漏洞, 修复建议:仅暴露必要的端点,避免敏感端点对外公开;为 Actuator 端点添加基本身份验证,防止未授权 访问,禁用高风险端点。
解决方法: 在项目的application.yml配置文件添加如下内容:
yaml
management:
endpoints:
enabled-by-default: false
web:
base-path: /aaa/secure-monitor
exposure:
exclude: "*"Apache Tomcat相关安全漏洞
- 漏洞描述:
| 序号 | 漏洞名称 | 危险级别 |
|---|---|---|
| 1 | Apache Tomcat安全限制绕过漏洞(CVE-2018-8034) | 高 |
| 2 | Apache Tomcat session-persistence 远程代码执行漏洞(CVE-2016-0714) | 高 |
| 3 | Apache Tomcat 安全漏洞(CVE-2017-5647) | 高 |
| 4 | Apache Tomcat信息泄露漏洞(CVE-2016-8745) | 高 |
| 5 | Apache Tomcat拒绝服务漏洞(CVE-2016-3092) | 高 |
| 6 | Apache Tomcat HTTP_PROXY环境变量安全漏洞(CVE-2016-5388) | 高 |
| 7 | Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-6796) | 高 |
| 8 | Apache Tomcat 安全漏洞(CVE-2017-5648) | 高 |
| 9 | Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-5018) | 高 |
| 10 | Apache Tomcat远程代码执行漏洞(CVE-2017-12617) | 高 |
| 11 | Apache Tomcat 安全限制绕过漏洞(CVE-2016-6797) | 高 |
| 12 | Apache Tomcat 安全限制绕过漏洞(CVE-2016-8735) | 高 |
| 13 | Apache Tomcat安全绕过漏洞(CVE-2017-5664) | 高 |
| 14 | Apache Tomcat拒绝服务漏洞(CVE-2018-1336) | 高 |
| 15 | Apache Tomcat 安全限制绕过漏洞(CVE-2016-6816) | 高 |
| 16 | Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014) | 高 |
| 17 | Apache Tomcat Mapper组件安全漏洞(CVE-2015-5345) | 中 |
| 18 | Apache Tomcat Security Manager绕过漏洞(CVE-2014-7810) | 中 |
| 19 | AApache Tomcat 目录遍历漏洞(CVE-2015-5174) | 中 |
| 20 | Apache Tomcat Manager和Host Manager应用程序安全漏洞(CVE-2015-5351) | 中 |
| 21 | Apache Tomcat 会话固定漏洞(CVE-2015-5346) | 中 |
| 22 | Apache Tomcat 安全漏洞(CVE-2016-0763) | 中 |
| 23 | Apache Tomcat 安全漏洞(CVE-2016-0706) | 中 |
- 解决方法: 通过升级tomcat版本解决,升级Tomcat版本至8.0.35及以上版本。